Comment configurer l'audit de sécurité réseau sous Linux

Comment configurer l'audit de sécurité réseau sous Linux

L'audit de sécurité réseau est un processus important pour garantir la sécurité et la stabilité du système réseau. L'audit de sécurité réseau sur les systèmes Linux peut aider les administrateurs à surveiller les activités réseau, à découvrir les problèmes de sécurité potentiels et à prendre des mesures en temps opportun. Cet article expliquera comment configurer l'audit de sécurité réseau sous Linux et fournira des exemples de code pour aider les lecteurs à mieux comprendre.

1. Installer Auditd

Auditd est le cadre d'audit de sécurité par défaut pour les systèmes Linux. Nous devons d’abord installer Auditd.

Sur le système Ubuntu, vous pouvez l'installer via la commande suivante :

sudo apt-get install auditd

Sur le système CentOS, vous pouvez l'installer via la commande suivante :

sudo yum install audit

2. Configurer Auditd

Une fois l'installation terminée, nous avons besoin pour effectuer certaines opérations de base sur la configuration Auditd. Le fichier de configuration principal est /etc/audit/auditd.conf. En modifiant ce fichier, vous pouvez ajuster certaines options de configuration. /etc/audit/auditd.conf。编辑该文件，可以调整一些配置选项。

以下是一个示例配置文件的内容：

# /etc/auditd.conf
# 注意这里的路径可能因不同系统而有所不同

# 本地日志文件存储的路径
log_file = /var/log/audit/audit.log

# 最大日志文件大小
max_log_file = 50

# 最大日志存储时间
max_log_file_action = keep_logs

# 日志保留的天数
num_days = 30

# 空闲时间（秒）
idletime = 600

# 发现故障后自动停止
space_left_action = email

# 发现故障后实时通知的邮箱地址
admin_space_left_action = root@localhost

# 设定审计系统时额外添加的项目
# 以下是一个示例配置，根据需要可自行调整
# -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at,openat2 -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k access

注意，你需要根据系统和需求自行调整配置。在完成配置后，保存文件并重新启动 auditd 服务。

sudo systemctl restart auditd

三、常用Auditd命令

配置完成后，我们可以使用一些常用的 Auditd 命令来监控网络活动和审计日志。

1. audispd-plugins 插件

audispd-plugins 是一个 Auditd 的插件，可以将 Auditd 日志转发到其他工具，如 Syslog 或 Elasticsearch 等。

在Ubuntu系统上，可通过以下命令进行安装：

sudo apt-get install audispd-plugins

在CentOS系统上，可通过以下命令进行安装：

sudo yum install audispd-plugins

在配置文件 /etc/audisp/plugins.d/syslog.conf 中，你可以指定日志转发的目标。在以下示例中，我们将日志转发到 Syslog：

active = yes
direction = out
path = /sbin/audispd-in_syslog
type = builtin
args = LOG_INFO
format = string

2. ausearch

ausearch 是一个 Auditd 的命令行工具，可以查询 Audit 日志。以下是几个常用的命令示例：

# 查询所有事件
sudo ausearch -m all

# 查询指定时间段的日志
sudo ausearch --start "10 minutes ago" --end "now"

# 根据用户查询日志
sudo ausearch -ua username

# 根据文件路径查询日志
sudo ausearch -f /path/to/file

# 根据系统调用查询日志
sudo ausearch -sc open

3. aureport

aureport

Voici le contenu d'un exemple de fichier de configuration :

# 生成所有的事件报告
sudo aureport

# 生成文件相关的事件报告
sudo aureport -f

# 生成用户相关的事件报告
sudo aureport -i

# 生成系统调用的事件报告
sudo aureport -c

Notez que vous devez ajuster vous-même la configuration en fonction de votre système et de vos besoins. Une fois la configuration terminée, enregistrez le fichier et redémarrez le service auditd.

sudo auditctl -a always,exit -F arch=b64 -S execve -k command
sudo auditctl -a always,exit -F arch=b64 -S execveat -k command
sudo auditctl -a always,exit -F arch=b32 -S execve -k command
sudo auditctl -a always,exit -F arch=b32 -S execveat -k command
sudo auditctl -a always,exit -F arch=b64 -S sendto -F auid>=500 -F auid!=4294967295 -k connect

3. Commandes Auditd couramment utilisées

Une fois la configuration terminée, nous pouvons utiliser certaines commandes Auditd courantes pour surveiller les activités réseau et les journaux d'audit.

1. plug-in audispd-plugins

audispd-plugins est un plug-in Auditd qui peut transmettre les journaux Auditd à d'autres outils, tels que Syslog ou Elasticsearch, etc.

Sur les systèmes Ubuntu, vous pouvez l'installer avec la commande suivante :

rrreee

Sur les systèmes CentOS, vous pouvez l'installer avec la commande suivante : 🎜rrreee🎜Dans le fichier de configuration /etc/audisp/plugins.d/ syslog.conf , vous pouvez spécifier la destination du transfert des journaux. Dans l'exemple suivant, nous transmettons les logs à Syslog : 🎜rrreee

2. ausearch

🎜ausearch est un outil en ligne de commande pour Auditd , vous pouvez interroger le journal d'audit. Voici plusieurs exemples de commandes couramment utilisées : 🎜rrreee

3. aureport

🎜aureport est un outil de reporting Auditd qui peut générer différents types de commandes. de rapport. Voici plusieurs exemples de commandes couramment utilisées : 🎜rrreee🎜 IV. Exemples de configuration clés 🎜🎜Ce qui suit est un exemple de configuration pour auditer la connexion des utilisateurs et l'exécution des commandes : 🎜rrreee🎜La configuration ci-dessus enregistrera les commandes exécutées par tous les utilisateurs et les commandes. trafic réseau envoyé. 🎜🎜5. Résumé🎜🎜La configuration de l'audit de sécurité réseau sur les systèmes Linux est un élément important pour garantir la sécurité du système. En installant et en configurant Auditd, vous pouvez surveiller les activités réseau et découvrir les problèmes de sécurité potentiels. Cet article présente l'installation d'Auditd, la configuration de base, les commandes courantes et les exemples de configuration clés, et fournit un exemple de code pour aider les lecteurs à mieux comprendre. 🎜🎜J'espère que cet article pourra vous aider à effectuer un audit de sécurité réseau sur le système Linux. Si vous avez d'autres questions, n'hésitez pas à nous les poser. 🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!